image

Onderzoek: Meer industriële systemen toegankelijk via internet

vrijdag 2 februari 2018, 13:49 door Redactie, 2 reacties

Het aantal industriële controlesystemen (ICS) dat via het internet toegankelijk is, is vorig jaar gestegen ten opzichte van het jaar daarvoor. Ook het aantal kwetsbaarheden in dergelijke systemen nam toe, aldus onderzoek van securitybedrijf Positive Technologies in een nieuw rapport (pdf).

Industriële controle systemen worden onder andere in de vitale infrastructuur en productieprocessen gebruikt. De onderzoekers vonden via de publiek beschikbare zoekmachines Google, Shodan en Censys bijna 176.000 ICS-onderdelen op internet tegenover 162.000 vorig jaar (pdf). Het gaat dan bijvoorbeeld om netwerkonderdelen, zoals switches, interface converters en gateways, meetapparatuur, programmable logic controllers, human machine interfaces en Supervisory Control And Data Acquisition (SCADA) systemen. 3500 onderdelen werden in Nederland aangetroffen.

Vorig jaar kende ook een stijging van het aantal openbaar gemaakte kwetsbaarheden in industriële controlesystemen. Werden er in 2016 nog 115 beveiligingslekken aangekondigd, vorig jaar waren het er 197. Volgens Positive Technologies wordt er een groeiend aantal kwetsbaarheden in industriële netwerkapparatuur gevonden. Verder zijn de meeste beveiligingslekken die in 2017 werden ontdekt op afstand zonder willekeurige rechten te misbruiken, net als in 2016 het geval was. "Een toename van het aantal bekende kwetsbaarheden en via internet toegankelijke ICS-onderdelen laat aanvallers meer soorten aanvallen uitvoeren, die echte gevolgen kunnen hebben", aldus de onderzoekers.

Image

Reacties (2)
02-02-2018, 14:03 door Anoniem
Iedereen kan twee scans uitvoeren, de resultaten naast elkaar leggen, tellen en dan beweren of iets is toegenomen of afgenomen. Dat lijkt dit bedrijfje te hebben gedaan.

Wat ontbreekt is een verantwoording hoe ze nauwkeurig kunnen meten dat er meer of minder industriele systemen toegankelijk zouden zijn. Er is geen enkele verantwoording terug te vinden. Het enige wat ze presenteren zijn wat grafiekjes en cijfertjes en conclusies die niet te controleren zijn op waarheid bij hun datasets.

Dit zijn publicaties die geen ander doel hebben dan aandacht trekken van mensen die geen behoefte hebben aan verantwoording of bewijs. Dit soort onderzoek zou geen onderzoek genoemd mogen worden met zulke gebreken in verantwoording. Security.nl gedraagt zich hier als de nieuwsuur van februari door dit soort berichten klakkeloos over te nemen.
02-02-2018, 14:39 door Anoniem
Door Anoniem: Wat ontbreekt is een verantwoording hoe ze nauwkeurig kunnen meten dat er meer of minder industriele systemen toegankelijk zouden zijn. Er is geen enkele verantwoording terug te vinden. Het enige wat ze presenteren zijn wat grafiekjes en cijfertjes en conclusies die niet te controleren zijn op waarheid bij hun datasets.
Alleen claimen ze helemaal niet dat ze dat nauwkeurig kunnen meten, ze geven zelf keurig aan dat hun aanpak beperkingen heeft. Claims die ze niet doen hoeven ze niet te verantwoorden. En dat een onderzoek beperkingen heeft maakt het niet meteen waardeloos, er zitten namelijk gradaties tussen uitersten. Ook een onderzoek als dit kan een indicatie zijn van hoe dingen zich aan het ontwikkelen zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.